Microsoft は 2017 年 11 月、遠隔でのコード実行が可能になる Microsoft Office の脆弱性「CVE-2017-11882」を修正する更新プログラムを公開しました。しかし、更新プログラム公開後にも「COBALT」のようなサイバー犯罪集団がこの脆弱性を利用して情報窃取型マルウェア「FAREIT」やオンライン銀行詐欺ツール「URSNIF」および「Loki」を改造した情報窃取型マルウェアのようなさまざまなマルウェアを拡散していたことが確認されています。Loki は当初、パスワードや仮想通貨ウォレットを窃取することのできるキーロガーとして販売されていたマルウェアです。
続きを読むその活動内容によって悪名をはせるサイバー犯罪集団「Lazarus」は、正体に関する謎も相まって多くの関心を集めています。同集団は、2007 年の韓国政府に対する一連のサイバー諜報活動によって登場して以来、大きな被害をもたらした注目すべき標的型攻撃をいくつか成功させており、最近では、広く報道された 2014 年の Sony Pictures における情報漏えいや、2016 年のバングラデシュの銀行に対する攻撃が例として挙げられます。規模と影響の両面で Lazarus の活動の歴史に匹敵する集団はほとんどありません。その大きな理由の 1 つが、Lazarus が利用するツールと手法の多様性にあります。
続きを読む「Patchwork(別名:Dropping Elephant)」は、外交機関や政府機関、企業等を標的とするサイバー諜報活動集団です。Patchwork という名称は、自身の活動のために既製のツールやマルウェアを修正して利用することに由来しています。ゼロデイ脆弱性を利用し対象に合わせて戦術を調整するその他の集団とは異なり、利用する手法は目新しいものではないかもしれません。しかし、さまざまな感染経路やマルウェアを駆使する Patchwork の攻撃は確かな脅威となっています。
トレンドマイクロは、2017 年に確認された Patchwork の活動を追跡しました。彼らが利用するソーシャルエンジニアリングの手法、攻撃手順、バックドア型マルウェアはそれぞれ多岐にわたります。他にも、「Dynamic Data Exchange(動的データ交換、DDE)」と「Windows Script Component(SCT)」の悪用や、新しく報告された脆弱性の利用も確認されるようになってきました。このような状況から、Patchwork は自身の目的に合わせて再利用するために、その他の脅威や脆弱性に注意を払っていることがうかがえます。また、より慎重かつ効果的に活動しようとしている点も注目に値します。
続きを読むトレンドマイクロは、ロシア語を使う企業を狙いバックドア型マルウェアを送り込む標的型メールの送信活動を 2017年6月から7月にかけて確認し、報告しました。そして今回、その攻撃は、実際には大きな攻撃キャンペーンの序盤であったことが判明しました。攻撃者は、利用されている技術から、ハッカー集団「COBALT(コバルト)」であると考えられています。最近の COBALT による標的型メールには、マクロを利用したものと脆弱性を利用したもの、2つの手法が確認されています。さらに、ソーシャルエンジニアリングによって、Eメールを受信した銀行員が緊急感を持つように細工されていました。
続きを読むトレンドマイクロは、2017年9月にも、古くからあるオンライン銀行詐欺ツール「EMOTET(エモテット)」がそのような不正なマクロを利用した手法で金融機関以外の業界や新しい地域へと対象を拡大する活動について報告しました。
不正なマクロと PowerShell を利用する「EMOTET」の感染フロー
トレンドマイクロは、2017 年 7 月、本ブログにて標的型サイバー攻撃キャンペーン「ChessMaster」の諜報活動について解説しました。ChessMaster は、「ChChes」、「RedLeaves」、「PlugX(※1)」のような「Remote AccessTool(RAT)」をはじめ、さまざまなツールやマルウェアを利用し、主に日本の法人を標的として攻撃します。2017 年 9 月下旬、トレンドマイクロはChessMasterによる新しい活動を確認しました。利用されたツールと手口は注目すべき変化を遂げており、以前の攻撃では確認されていないものでした。弊社の調査によると、ChessMasterはオープンソースのツールと自ら開発したツールを利用し、おそらく攻撃者の特定を逃れるために、その手法を変化させ続けています。ChessMasterによる攻撃キャンペーンのこれまでの経緯を踏まえると、今後もさらなる変化が予想されます。
続きを読むトレンドマイクロは、2017年8月、感染 PC にさまざまなマルウェアを拡散するマルウェア「EMOTET(エモテット)」の新しい亜種(「TSPY_EMOTET.AUSJLA」、「TSPY_EMOTET.SMD3」、「TSPY_EMOTET.AUSJKW」、「TSPY_EMOTET.AUSJKV」として検出)の急増を確認しました。弊社が、2014 年 6 月に初めて EMOTET を確認した際には、このマルウェアはネットワーク監視による情報収集機能を備えたオンライン銀行詐欺ツールでした。
続きを読むトレンドマイクロは、クラウド型オンラインストレージサービス「A360 Drive」がマルウェアの拡散に悪用されていることを確認しました。クラウド型サービスは、マルウェアの拡散やコマンド&コントロール(C&C)サーバとしてサイバー犯罪者によって悪用されてきた経緯があります。本ブログでも、攻撃者集団「WINNTI」が、C&C 通信のために「GitHub」を利用した事例を報告しています。
今回確認された「Autodesk® A360(A360)」を利用した攻撃は、WINNTI の手法に比べて単純で目新しさは無いものの、マルウェアをホストするためにファイル共有サイトを悪用するという点で類似しています。A360 は「チームとプロジェクトの情報をデスクトップ、Web、モバイルデバイスに統合、接続、編成するためのクラウドベースのワークスペース」です。一連の製品群には、「Autodesk® A360 Drive(A360Drive)」と「Autodesk® A360 Team サービス」などが含まれます。個人向けの無料アカウントでは 5GB のストレージを利用することが可能です。ブラウザやデスクトップアプリからファイルをアップロードし、権限に応じて閲覧・編集等が可能なユーザを招待することができます。サイバー犯罪者は、マルウェアを A360 にホストすることにより、疑われずにマルウェアを送り込むことが可能になります。この手法は、収集情報の保存先としてGoogle Drive が利用された攻撃と類似しています。
続きを読む